Home » Viren, Trojaner & Malware Forum » Trojaner Alarm!TR/Agent.anr.1,TR/Spy.VBStat.B.1 » Themenansicht

Trojaner Alarm!TR/Agent.anr.1,TR/Spy.VBStat.B.1
#0
17.06.2007, 23:06
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#16 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\khfggge.dll
O20 - Winlogon Notify: khfggge - C:\WINDOWS\SYSTEM32\khfggge.dll

klicke: Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 23:22
Piodre
Member

Themenstarter

Beiträge: 25
#17 Alles genauso gemacht wie beschrieben.Was nu?habe noch bei antivir etwas unter quarantäne,was soll ich damit machen?
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
17.06.2007, 23:28
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#18 Ist khfggge.dll jetzt weg?
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 23:37
Piodre
Member

Themenstarter

Beiträge: 25
#19 nein,leider nicht ;) kann das etwas mit der quarantäne zu tun haben?soll ich die löschen?

Anhang: Dok3.doc

__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Dieser Beitrag wurde am 17.06.2007 um 23:41 Uhr von Piodre editiert.
Seitenanfang Seitenende
17.06.2007, 23:40
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#20 Lösche mal die quarantäne
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 23:43
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#21 Teste bitte diese Datei bei VT
C:\WINDOWS\SYSTEM32\khfggge.dll
__________
MfG Argus
Seitenanfang Seitenende
18.06.2007, 00:12
Piodre
Member

Themenstarter

Beiträge: 25
#22 quarantäne gelöscht und hier der scan...

Anhang: Complete scanning result of.doc

__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
18.06.2007, 00:16
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#23 Dan scanne mal mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus
Seitenanfang Seitenende
18.06.2007, 00:22
Piodre
Member

Themenstarter

Beiträge: 25
#24 findet die datei,soll ich desinfizieren?hab ich aber schon bestimmt 5xgemacht.Läßt sich einfach nicht löschen!
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
18.06.2007, 00:31
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#25 Auch nicht im abgesichtern Modus?
Es gibt nur ein Eintrag in Google und die kommt von Prevx
Vielleicht?... http://info.prevx.com/downloadprevx2.asp
__________
MfG Argus
Seitenanfang Seitenende
18.06.2007, 00:38
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#26 Bei http://www.virus-protect.org/multiavtool.html gibt es ein 4 in 1 scanner

Oder
Download VundoFix zum Desktop
Doppelklick auf VundoFix.exe um das Tool zu starten
Klicke “Scan for Vundo”
Wenn der scan vorueber ist klicke “Remove Vundo”
Wenn man die Meldung kommt “remove”,klicke Yes
Danach werden alle Desktop-Symbole verschwinden
Dann wird man gefragt,ob der PC neustarten soll,klicke OK
Kopiere den Inhalt des Berichts “C:\vundofix.txt
” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus
Seitenanfang Seitenende
18.06.2007, 01:12
Piodre
Member

Themenstarter

Beiträge: 25
#27 Ist weg!Ich glaub´s kaum.die datei ist weg und die programme finden auch nichts mehr!schau mal,oder?

Logfile of HijackThis v1.99.1
Scan saved at 01:09:50, on 18.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Peter&Helena\Desktop\hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/index.php?rvs=hompag
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {A2F395E0-122E-4D18-91DB-BF4E1A9BDF07} - C:\WINDOWS\system32\gebca.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Seitenanfang Seitenende
18.06.2007, 01:31
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#28 Und wie hast du es gemacht? Ich lerne auch gerne noch etwas
Fixe noch mit HJ
O2 - BHO: (no name) - {A2F395E0-122E-4D18-91DB-BF4E1A9BDF07} - C:\WINDOWS\system32\gebca.dll (file missing)
__________
MfG Argus
Seitenanfang Seitenende
18.06.2007, 01:42
Piodre
Member

Themenstarter

Beiträge: 25
#29 nachdem VundoFix fertig war und der rechner wieder hochgefahren ist,hab ich die datei gesucht und nicht mehr gefunden.alle virenprogramme laufen lassen und keins wurde fündig.Vorher hab ich im Abgesicherten Modus mit Dr.Web nochmal desinfiziert.Danke für deine Geduld,hast mein System gerettet!Gut das es Leute wie dich gibt die uns Leihen immer wieder aus der sch... helfen.Hut ab

Logfile of HijackThis v1.99.1
Scan saved at 01:51:22, on 18.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Peter&Helena\Desktop\hijackthis\HJT.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/index.php?rvs=hompag
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
__________
Intel Core 2Duo 2,2GHz,2GB Ram
Nvidia GForce 8600M GS
Dieser Beitrag wurde am 18.06.2007 um 01:53 Uhr von Piodre editiert.
Seitenanfang Seitenende
18.06.2007, 01:56
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#30 Weisst du ich bin auch noch ein Lehrling lerne jeden Tag etwas dazu
Meine Datenbank wird auch immer grösser

Entferne von C:\VundoFix Backups\
C:\qoobox\

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren

http://board.protecus.de/t29903.htm

Gute nacht
Und hoffentlich nicht Auf Wiedersehen lol
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12